Mercado fechará em 3 h 8 min
  • BOVESPA

    107.429,31
    -1.021,89 (-0,94%)
     
  • MERVAL

    38.390,84
    +233,89 (+0,61%)
     
  • MXX

    45.583,54
    +141,33 (+0,31%)
     
  • PETROLEO CRU

    82,51
    +0,36 (+0,44%)
     
  • OURO

    1.668,50
    -1,50 (-0,09%)
     
  • BTC-USD

    19.572,97
    +40,58 (+0,21%)
     
  • CMC Crypto 200

    447,02
    +1,03 (+0,23%)
     
  • S&P500

    3.642,69
    -76,35 (-2,05%)
     
  • DOW JONES

    29.233,89
    -449,85 (-1,52%)
     
  • FTSE

    6.881,59
    -123,80 (-1,77%)
     
  • HANG SENG

    17.165,87
    -85,01 (-0,49%)
     
  • NIKKEI

    26.422,05
    +248,07 (+0,95%)
     
  • NASDAQ

    11.202,25
    -353,50 (-3,06%)
     
  • BATS 1000 Index

    0,0000
    0,0000 (0,00%)
     
  • EURO/R$

    5,2761
    +0,0435 (+0,83%)
     

6 apps para Windows têm vírus que ficam escondidos um mês antes de agir

Um novo malware para Windows é capaz de se manter inativo no computador por até um mês antes de começar a agir, como forma de escapar da detecção por softwares de segurança. Distribuído como se fosse o Google Tradutor, YouTube Music ou programas para o download de MP3s, entre outras aplicações legítimas, a praga é, na realidade, um minerador de criptomoedas, que usa o poder computacional das vítimas para gerar lucro aos criminosos.

A operação foi detalhada pelos especialistas em segurança digital da Check Point Research, que citam milhares de máquinas contaminadas em 11 países. O malware seria de origem turca, entregue a partir de sites que disponibilizam aplicações gratuitas para download, como a Softpedia e o uptodown, o que também ajuda a campanha a aparecer com destaque em resultados de buscas, a partir de sua presença em sites considerados legítimos.

Os seguintes apps, com alcance mundial, são usados para disseminar a contaminação:

  • Google Translate Desktop

  • Yandex Translate Desktop

  • Microsoft Translate Desktop

  • PC Auto Shutdown

  • MP3 Download Manager

  • YouTube Music Desktop

<em>Criminosos usam versão modificada de navegador baseado em Chromium para rodar interface web de serviços, como se fossem apps locais, de forma a espalhar infecção (Imagem: Reprodução/Check Point Research)</em>
Criminosos usam versão modificada de navegador baseado em Chromium para rodar interface web de serviços, como se fossem apps locais, de forma a espalhar infecção (Imagem: Reprodução/Check Point Research)

Os aplicativos efetivamente cumprem o que prometem, o que aumenta a furtividade da contaminação; após isso, também, arquivos resultantes seriam deletados, com o comprometimento mantendo seus rastros na máquina a um mínimo necessário. Com tudo isso e entre as diferentes técnicas de ofuscação, a campanha foi capaz de permanecer sob o radar por pelo menos dois anos, já que estaria ativa desde 2019.

Isso, também, teria permitido um grande alcance para a campanha, com apenas a versão fraudulenta do Google Tradutor disponível na Softpedia tendo acumulado mais de 112 mil downloads antes de ser detectada pelos especialistas. Servidores online, controlados pelos bandidos, são capazes de entregar até atualizações para os softwares fraudulentos e também os arquivos maliciosos.

Isso, entretanto, acontece em diferentes fases, com a praga podendo se disfarçar também como componentes do sistema operacional até, efetivamente, receber os comandos de mineração de criptomoedas e começar a gerar rendimentos para os criminosos. Configurações avançadas permitem até mesmo controlar quanto processamento será usado, também como uma maneira de evitar que o usuário perceba o problema.

<em>Apps maliciosos são hospedados em serviços legítimos de distribuição, o que pode fazer com que eles apareçam até nos resultados de buscas (Imagem: Reprodução/Check Point Research)</em>
Apps maliciosos são hospedados em serviços legítimos de distribuição, o que pode fazer com que eles apareçam até nos resultados de buscas (Imagem: Reprodução/Check Point Research)

Chama atenção, entretanto, o fato de muitas das aplicações prometidas não terem um app oficial para desktop, com a operação Nitrokod, como foi chamada, usando uma adaptação de um navegador baseada em Chromium para exibir a interface web dos serviços dentro de uma janela. Assim, apontam os especialistas, os criminosos podem distribuir apps efetivamente funcionais, mas sem precisarem desenvolver nada e aumentando a capacidade de sucesso da campanha.

Os especialistas da Check Point apontam que a operação de mineração pode ser apenas um exemplo do que é possível fazer com uma máquina contaminada pelo Nitrokod, que também pode receber malwares mais perigosos. Por isso, a recomendação de segurança é pelo download, apenas, de soluções oficiais a partir dos sites de seus desenvolvedores, com os usuários devendo evitar supostos clientes de serviços que não possuem versão dedicada ao desktop.

No caso dos mineradores de criptomoedas, lentidões repentinas no computador são sinais de que algo de errado está acontecendo. Aos usuários avançados, vale a pena monitorar processos em busca de algo de errado, enquanto a todos, a recomendação é sempre manter o sistema operacional e apps atualizados, assim como um bom software de segurança.

Fonte: Canaltech

Trending no Canaltech: